Google Duo

Door een enorm lek konden onbevoegden gesprekken afluisteren die via toepassingen als Google Duo, FaceTime, Signal of Facebook Messenger werden gevoerd, Voor bepaalde toepassingen zou dat lek tot eind vorig jaar hebben voortbestaan, zo ontdekte een onderzoekster van Google Project Zero.
Na de aankondiging van WhatsApp om (meta)gegevens van gebruikers te delen met moeder Facebook heeft berichtendienst Signal de wind mee. Die berichtendienst die de favoriet was van NSA-klokkenluider Edward Snowden, die prima beveiligd is en geen gegevens van gebruikers verzamelt had tot eind 2019 toch een enorm veiligheidslek.
Als een Signalgebruiker en andere gebruiker probeert te bereiken, dan wisselen de Signal-applicaties gegevens uit om de verbinding tot stand te brengen. Dan gaat het niet alleen om de codec en codesleutels, maar dan wordt ook de microfoon van de gebelde geactiveerd.  Dat zou een derde de mogelijkheid geven een gesprek af te luisteren.
Het lek werd ontdekt door Natalie Silvanovich van Project Zero, maar ze kwam er achter dat zo’n lek niet alleen bij Signal was te vinden. Ook bij andere communicatietoepassingen zoals Messenger van Facebook, Facetime van Apple, Google Duo en JioChat, dat in India veel wordt gebruikt zat zijn geweldig gat.

Gedicht

Apple en Signal hebben het lek al in 2019 gedicht, maar de andere berichtendiensten hebben dat pas later en sommige zelfs tegen het eind van vorig jaar gedaan. Volgens Solvanovich is de zaak bij Google Duo nog ernstiger geweest, want daarbij konden ook de beelden worden opgevangen door onbevoegde derden. Viber en Telegram behoorden niet tot de ‘slachtoffers’.

Op Twitter vertelde de onderzoekster dat ze zich had beperkt tot toepassingen met meer dan 10 miljoen gebruikers (iof nauwkeuriger, installaties van Google Play). Het is volgens haar dan ook  mogelijk dat minder populaire toepassingen nog steeds zo’n kwetsbare plek hebben.  Het is hoe dan ook zaak je toepassingen ‘bij de tijd’ te houden.

Bron: Futura-Sciences